Статус: Новичок
Группы: Участники
Зарегистрирован: 16.10.2014(UTC) Сообщений: 4 Откуда: Msk
|
Добрый день! Разбираюсь с CAdESCOM.SignedXML и возникли следующие вопросы: В документации http://cpdn.cryptopro.ru...plugin-installation.html есть такое замечание: Цитата: Информацию о действительности каждой найденной подписи в документе можно получить при помощи свойства Signers. Коллекция Signers заполняется в порядке следования элементов, найденных XPath-запросом. По умолчанию используется следующий запрос: "//*[local-name()='Signature' and namespace-uri()='http://www.w3.org/2000/09/xmldsig\#']"
При проверке действительности подписи методом Verify объекта CAdESCOM.SignedXML будет ли использован список CRL если в сертификате есть ссылка на CRL? Необходимо ли перед подписанием заполнить в XML блок с CRL?
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 22.01.2008(UTC) Сообщений: 671 Откуда: Йошкар-Ола Сказал «Спасибо»: 3 раз Поблагодарили: 93 раз в 67 постах
|
Программное обеспечение от КриптоПро для CAdES работает с доказательствами подлинности исключительно только на основе ответов OCSP сервера. CRL использовать нельзя (как минимум пока). |
С уважением, Юрий Строжевский |
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 16.10.2014(UTC) Сообщений: 4 Откуда: Msk
|
Спасибо за оперативность. Для CAdES согласен, встречал на форуме эту информацию. Но как я понял CAdESCOM.SignedXML подписывает в формате XAdES. Или на данный момент и его реализация не поддерживает CRL?
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 22.01.2008(UTC) Сообщений: 671 Откуда: Йошкар-Ола Сказал «Спасибо»: 3 раз Поблагодарили: 93 раз в 67 постах
|
Автор: Alex_ITeco Спасибо за оперативность. Для CAdES согласен, встречал на форуме эту информацию. Но как я понял CAdESCOM.SignedXML подписывает в формате XAdES. Или на данный момент и его реализация не поддерживает CRL? На всякий случай - я тоже "пользователь", просто давно тут общаюсь. А про XAdES - основа и там, и в CAdES одна и та же. Так что использовать CRL в XAdES нельзя. |
С уважением, Юрий Строжевский |
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники Зарегистрирован: 10.12.2008(UTC) Сообщений: 924 Откуда: Крипто-Про Поблагодарили: 99 раз в 95 постах
|
Cadescom.SignedXML в настоящий момент создает подпись формата XMLDSig, не XAdES. И CRL вполне может быть использован для проверки подписи. Отредактировано пользователем 28 октября 2014 г. 13:31:32(UTC)
| Причина: Не указана
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники Зарегистрирован: 10.12.2008(UTC) Сообщений: 924 Откуда: Крипто-Про Поблагодарили: 99 раз в 95 постах
|
Автор: Юрий Программное обеспечение от КриптоПро для CAdES работает с доказательствами подлинности исключительно только на основе ответов OCSP сервера. CRL использовать нельзя (как минимум пока). Это утверждение верно только для сертификата конечного пользователя. Для сертификатов промежуточных УЦ допускается использование CRL.
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 16.10.2014(UTC) Сообщений: 4 Откуда: Msk
|
Автор: Новожилова Елена Cadescom.SignedXML в настоящий момент создает подпись формата XMLDSig, не XAdES. И CRL вполне может быть использован для проверки подписи. Возможна ли реализация проверки подписи по CRL списку методами доступными плагину {Cadescom, CAPICOM}? Вижу что, используя API, на С или Java эта задача выполнима. Вопрос можно ли её реализовать внутри плагина на JavaScript?
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники Зарегистрирован: 10.12.2008(UTC) Сообщений: 924 Откуда: Крипто-Про Поблагодарили: 99 раз в 95 постах
|
О каком формате подписи идет речь?
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 16.10.2014(UTC) Сообщений: 4 Откуда: Msk
|
Автор: Новожилова Елена О каком формате подписи идет речь? Формат XMLDSig
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники Зарегистрирован: 10.12.2008(UTC) Сообщений: 924 Откуда: Крипто-Про Поблагодарили: 99 раз в 95 постах
|
Формат XMLDSig не требует включения в подпись CRL или OCSP-ответов. Поэтому при проверке подписи вы можете проверять действительность сертификата, на котором она была создана, при помощи CRL или OCSP-ответов или как вам угодно. Например, можно получить сертификат и воспользоваться свойством Certificate.IsValid().Result. При этом будет построена цепочка до доверенного корневого УЦ и эта цепочка будет проверена на отзыв. Использоваться при проверке цепочки будут CRL и OCSP-ответы (если в свойствах сертификата указан адрес службы и если ответ удастся получить).
Проверка сертификата (м его цепочки) на отзыв должна проводится по умолчанию при вызове метода SignedXML.Verify. Если проверка не производится, то это ошибка. Мы обязательно проверим этот момент и если ошибка подтвердится, то исправим ее в следующей версии.
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close